Authentification basée sur les certificats pour RDP
Vous pouvez utiliser SCEPman pour émettre des certificats de connexion par carte à puce à vos utilisateurs. En les inscrivant à Windows Hello for Business (Microsoft Passport Key Storage Provider) ils peuvent utiliser ces certificats pour s’authentifier auprès des ressources sur site à l’aide de leur code PIN Hello ou des options biométriques.
Cela permettra aux utilisateurs, par exemple, de se connecter à d’autres clients via le protocole Bureau à distance (RDP) en utilisant leurs identifiants Windows Hello for Business.
Configurer Active Directory
Exigences
Le certificat CA de SCEPman doit être publié dans le NTAuth magasin pour authentifier les utilisateurs auprès d’Active Directory
Les contrôleurs de domaine doivent disposer d’un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce
Les contrôleurs de domaine et les machines cibles doivent faire confiance à la racine CA de SCEPman
Suivez notre guide sur les certificats de contrôleur de domaine pour publier le certificat racine CA de SCEPman dans le NTAuth magasin et émettre des certificats à vos contrôleurs de domaine :
les certificats Domain ControllerVous pouvez créer un Objet de stratégie de groupe pour gérer la distribution du certificat racine aux machines concernées : Pour distribuer des certificats aux ordinateurs clients à l’aide de la stratégie de groupe
Le certificat doit être déployé sur tous les contrôleurs de domaine gérant les authentifications ainsi que sur toutes les machines cibles auxquelles les utilisateurs souhaitent se connecter en utilisant cette méthode.
Veuillez noter qu’une fois le certificat racine de SCEPman publié dans le magasin NTAuth, les utilisateurs qui peuvent influencer le contenu des certificats émis par SCEPman (par exemple les administrateurs Intune) sont en mesure de se faire passer pour n’importe quel principal Active Directory.
Déployer les certificats de carte à puce à l’aide d’Intune
Profil de certificat approuvé
Vos clients devront faire confiance au certificat racine de SCEPman.
Si vous utilisez déjà SCEPman pour déployer des certificats sur vos clients, vous aurez déjà ce profil en place.
Certificat de carte à puce
Créez un profil pour Windows 10 et versions ultérieures avec le type certificat SCEP dans Microsoft Intune et configurez le profil comme décrit :
Format du nom du sujet : CN={{UserPrincipalName}}
Si le suffixe UPN des utilisateurs ciblés dans Entra ID est différent de celui utilisé dans Active Directory, vous devez utiliser CN={{OnPrem_Distinguished_Name}}
Nom alternatif du sujet : valeur UPN : {{UserPrincipalName}} et valeur URI : {{OnPremisesSecurityIdentifier}}
L’URI avec le SID est nécessaire pour avoir un mappage fort du certificat dans AD. Sinon, vous pouvez configurer SCEPman pour ajouter une extension avec le SID aux certificats utilisateur et ne pas configurer l’URI.
Fournisseur de stockage de clés (KSP) : Inscrire à Windows Hello for Business, sinon échec (Windows 10 et versions ultérieures)
Utilisation étendue de la clé : Authentification du client et Journal de connexion par carte à pucedans
Authentification du client, 1.3.6.1.5.5.7.3.2
Connexion par carte à puce, 1.3.6.1.4.1.311.20.2.2
URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de Intune MDM
Utiliser Windows Hello for Business pour se connecter à des hôtes distants
Une fois le certificat déployé sur le client d’authentification, il suffit de se connecter à l’hôte distant et de sélectionner le fournisseur d’informations d’identification Windows Hello for Business configuré.
Mis à jour
Ce contenu vous a-t-il été utile ?